CCRC安全運維服務資質認證

　　信息安全運維服務資質認證主要是通過技術設施安全，技術設施安全加固，安全漏洞補丁通告、安全事件響應以及信息安全運維咨詢，協助組織的信息系統管理人員進行信息系統的安全運維工作，以發現并修復信息系統中所存在的安全隱患，降低安全隱患被非法利用的可能性，并在安全隱患被利用后及時加以響應。從而提升安全運維服務提供方的服務能力，質量和水平。

　　安全運維服務資質級別是衡量服務提供方的安全運維服務資格和能力的尺度。資質級別分為一級、二級、三級共三個級別，其中一級，三級。

　　從面向業務的運維服務出發，依據安全需求對信息系統進行安全運維準備、安全運維實施，并對實施安全運維服務的有效性進行評審，從而進行持續性改進，全過程、全生命周期地為信息系統運行提供安全保障的過程。

安全運維服務資質專業評價要求針對服務準備、服務實施、監視評審、持續改進四個階段進行，具體分級要求如下：一、準備階段

1、需求調研與分析：

1、采集客戶對信息系統運維服務時間的需求；

2、進行信息系統運維預算，定義運維服務；

3、與客戶進行溝通，達成共識并形成記錄；

2、運維服務設計：

①、制定安全運維服務目錄，包括但不限于：初始服務、安全設備運維、日常巡檢服務、健康 檢查、安全事件審計；

②、對信息系統相關的IT資產進行識別；

③、對安全設備進行日常維護及監控，并記錄硬件故障；

④、提供安全設備、業務系統的健康檢查服務，并約定服務方式、檢查頻次和檢查內容；

⑤、采集系統配置、流量信息、系統狀態等安全信息。收集與分析網絡及安全設備、服務器、操作系統、網絡應用的日志

3、運維服務導入：

①、收集與建立配置管理數據庫，確保配置項目的機密性、完整性、可用性；

②、專業人員負責安全管理的接口；

③、建立服務目錄；

④、建立事件響應和解決的機制，有基本的安全運維報告模式；

4、明確服務協議特殊要求：

1、明確安全事件處理與應急響應流程，包括但不限于：安全事件的分類、安全事件上報流程、安全事件處理流程、安全事件的事后處理；

2、明確安全運維方式，包括但不限于：駐場值守方式，定期巡檢方式，遠程值守方式；

二、運維服務實施階段：

1、實施初始服務：完成資產識別，定期配置項的更新和維護，實施相關運維流程；

2、實施安全設備運維服務：完成日常維護，狀態檢查，定期查殺，故障處理、保養、更新、升級、故障檢測及排除，并對安全設備出現的硬件故障進行統計記錄；

3、實施日常巡檢服務：完成安全設備監控；病毒監測、查殺及網絡防病毒維護，并有相關記錄；

4、實施健康檢查服務：完成安全設備、業務系統的健康檢查服務；

5、實施安全事件審計服務：完成網絡及安全設備日志、服務器、操作系統、網絡應用的日志、并且進行記錄；

6、組建運維服務臺職能，培養服務臺人員的專業能力；

7、建立事件管理程序和信息安全服務請求管理程序；

三、運維監視評審階段：

1、應定期收集與分析安全運維報告的數據，包括但不限于：異常報告及時率、異常漏報率、 維護作業計劃的及時完成率、故障隱患發現率、異常主動發現率、問題解決率、漏洞掃描 覆蓋率、加固設備覆蓋率、安全補丁安裝及時率、安全事件次數；

2、對運維實現情況進行監視測量，未能實現的目標應采取糾正預防措施；

3、建立與分析客戶滿意度調查；

四、運維持續改進階段：

1、應在運維過程和監視過程中識別改進項目，制定持續改進計劃，包括但不限于對改進機會的評估標準；

2、應有文件化的程序，用以識別、記錄、批準、評估、測量和報告改進措施；

3、應采取預防措施，以消除潛在的不符合項的原因，以防止其發生。

流程

一、自評估：

組織在中國信息安全認證中心網站下載《信息安全服務自評估表》，并實施自主評估；

二、認證申請：

組織依據信息安全服務資質認證程序、認證實施規則中相關要求，確定申請服務資質類別，并填寫《信息安全服務資質認證申請書》。組織向中國信息安全認證中心或其指定機構提交《信息安全服務資質認證申請書》、《信息安全服務自評估表》及相關證明材料；

三、申請材料評審：

中心依據認證程序和相關標準要求，對申請組織提交的認證相關材料進行評審，并確定申報級別和資質類別，簽訂認證合同；

四、現場評審：

認證機構組成評審組，依據相關標準和評審要求，到申請組織現場進行評審，并出具現場評審報告。特別，對申請一級資質認證的組織，必要時選擇申請組織的客戶進行項目實施現場見證；

五、認證決定：

認證決定委員會由3名以上(含3名)奇數認證決定人員組成，做出認證決定；

六、證書頒發：

對于符合認證要求的申請組織，頒發認證證書，并予以公示。

安全運維服務資質認證需要準備的材料:

1.營業執照

2.項目經理1名

3.相應的技術工程師2名

4.對應的運營項目

5.技術、財務、管理負責人具有相應資質

6.3年的審計報告

實施安全運維服務資質作用

1.保障企業信息安全，及時發現安全隱患。

2.增強消費者信心，擴大市場份額。

3.降低安全隱患和被非法利用的可能性，減少企業運營成本和財產損失。

二、認證意義

(1)是企業能力獲得第三方權威機構認證認可的依據;

(2)是需方選擇的依據，可以提高需方對服務商的信任度;

(3)規范管理與技術，提高客戶滿意度;

(4)拓寬企業的業務范圍，獲得更多業務機會。

深圳市新世紀認證有限公司辦理CCRC安全運維服務資質認證，費用低，流程快，權威證書認監委網站可查詢

以上信息來自網絡，如有侵權即聯系刪除